https://learn.microsoft.com/zh-tw/azure/cloud-adoption-framework/govern/resource-consistency/resource-access-management

Azure 中的資源存取管理

• 什麼是 Azure 資源？

在 Azure 中，資源是由 Azure 管理的實體。 虛擬機器、虛擬網路和儲存體帳戶都是 Azure 資源的範例。

• 什麼是 Azure 資源群組？

Azure 中的每個資源都必須屬於一個資源群組。 資源群組是一個邏輯容器，可將多個資源建立關聯，因此您可以根據生命週期和安全性來管理它們作為單一實體。

• 什麼是 Azure 訂用帳戶？

Azure 訂用帳戶類似于資源群組，因為它是一個邏輯容器，可將資源群組及其各自的資源產生關聯。 Azure 訂閱也與 Azure Resource Manager 控制項相關聯。 瞭解Azure Resource Manager及其與 Azure 訂用帳戶的關聯性。

• 什麼是 Azure Resource Manager？

在 Azure 的運作方式？中，您會瞭解 Azure 包含一個前端，其中包含協調 Azure 函式的服務。 其中一個服務就是 Azure Resource Manager。 此服務裝載用於管理資源的 RESTful API 用戶端。

下圖顯示三個用戶端：Azure PowerShell、Azure 入口網站和Azure CLI：

雖然這些用戶端會使用 REST API 連線到 Resource Manager，但 Resource Manager 並不包含直接管理資源的功能。 相反地，Azure 中的大多數資源類型都有自己的資源提供者。

當用戶端要求管理特定資源時，Azure Resource Manager 會連線到該資源類型的資源提供者，來完成要求。 例如，如果用戶端要求要管理虛擬機器資源，Azure Resource Manager 會連線到 Microsoft.Compute 資源提供者。

Azure Resource Manager 要求用戶端要同時指定訂閱和資源群組的識別碼，才能管理虛擬機器資源。

了解 Azure Resource Manager 的運作方式之後，即可了解如何將 Azure 訂閱與 Azure Resource Manager 控制項相關聯。 在 Azure Resource Manager 可以執行任一資源管理要求之前，請先檢閱下列一組控制項。

第一個控制項是經過驗證的使用者，必須提出要求。 此外，Azure Resource Manager 與Azure Active Directory (Azure AD) 必須要有信任的關聯性，才能提供使用者身分識別功能。

在 Azure AD 中，可以將使用者劃分為租用戶。 租用戶是一種邏輯建構，代表通常與組織相關聯的 Azure AD 所專屬的安全執行個體。 您也可以將每個訂閱都與 Azure AD 租用戶相關聯。

對於要在特定訂用帳戶中管理資源的每個用戶端要求，都需要使用者在相關聯的 Azure AD 租用戶中具有帳戶。

下一個控制項會檢查使用者具有足夠權限可以提出要求。 請使用 Azure 角色型存取控制 (Azure RBAC)，為使用者指派權限。

下一個控制項會檢查要求是否未超過 Azure 訂閱限制。 例如，每個訂用帳戶的資源群組上限為 980 個。 如果您在已到達限制時，收到了部署另一個資源群組的要求，即會拒絕。